Slik beskytter vi dine opplysninger og data

Dette dokumentet gjelder behandling av personopplysninger og data som registreres i våre systemer når du blir kunde hos oss. Lagring av personopplysninger og data skjer utelukkende elektronisk. Uniweb har integrert tiltak for å sikre konfidensialitet, integritet og tilgjengelighet. Vår sikkerhetsstrategi, systemkonfigurasjon og fysisk sikring av serverparken sørger for at personopplysninger og sensitive data ikke kommer uberettigede i hende.

Sikkerhetsmål

Uniweb tilfredsstiller krav i personopplysningsforskriften som beskytter deg som kunde, dine personopplysninger og data. Alle ansatte skal til enhver tid være pålagt taushetserklæring og være underlagt streng konfidensialitet. Ansattes tilgjengelighet til systemene er begrenset til det de trenger for å utføre spesifikke oppgaver og er definert i henhold til stilling og ansvarsområder. Opplysninger skal ikke komme på avveie eller kunne endres/slettes av uvedkommende. Data skal oppbevares på forsvarlig og sikker måte, slik at informasjon ikke går tapt. Uniweb skal ha stor og oppdatert sikkerhetskompetanse.

Sikkerhetsstrategi og systemkonfigurasjon

  • Alle ansatte har kontraktfestet taushetsplikt når det gjelder kundeopplysninger og kundedata, herunder filer på webhotell og e-postfiler, og plikter å hindre at uautoriserte får tilgang til informasjonen. Dette omfatter også ansatte hos eventuelle tredjeparter som utfører vedlikehold eller liknende tjenester av Uniwebs datasystemer, der de aktuelle data inngår. Unntak er om offentlige myndigheter etterspør data med hjemmel i lov.
  • De ansatte har kun tilgang til de systemer de trenger for å utføre jobben sin. Ulike stillinger har ulike fullmakter. Noen få driftsansatte har tilgang til det meste, andre ansatte har ikke tilganger de ikke trenger (eksempelvis root-tilgang til servere).
  • Uniweb har fastsatt klare ansvars- og myndighetsforhold internt, slik at bare nødvendig personell har tilgang på potensielt sensitive opplysninger.
  • De elektroniske systemene er konfigurert slik at tilfredsstillende informasjonssikkerhet oppnås. Kun ansatte har tilgang til interne systemer gjennom kryptert VPN. Brannmur er konfigurert på riktig måte på datasentre i både Oslo og Tønsberg.
  • Det er etablert logiske skiller mellom personopplysninger/datafiler i serverparken. Dette sikrer at personopplysninger/datafiler holdes atskilt fra øvrige databaser/filer med personopplysninger. Infiserte webfiler vil ikke ramme andre kunder enn gjeldende bruker, selv der kunder deler samme server.
  • Det gjøres jevnlige og oppfølgende tiltak mot ødeleggende programvare på servere, i form av sikkerhetstesting, systemlogging og automatiske systemer for å hindre inntrengning og misbruk (DDoS-angrep, SQLi, XSS, hijacking, phishing-programvare, spam, virus og andre trusler).
  • Sikkerhetsprosedyrer iverksettes umiddelbart ved tegn på innbrudd/hacking. Uniweb har vaktberedskap hele døgnet, 365 dager i året.
  • Kundesystem og kundedatabaser er kun tilgjengelig for de ansatte gjennom kryptert VPN-oppkobling med personlig sertifikat. Dette hindrer uautorisert innsyn fra tredjeparter.
  • De ansatte behandler kundeopplysninger kun gjennom pålagte oppgaver. Uniweb og de ansatte stiller strenge krav til verifisering fra korrekt kontaktperson ved endring av kundeopplysninger og/eller data/filer.
  • Det er stilt strenge krav til de ansattes tekniske kompetanse når det gjelder bruk av våre datatekniske løsninger.
  • Kommunikasjon med kunder via e-post skjer utelukkende kryptert gjennom protokollene SSL/TLS eller STARTTLS. Det samme gjelder kommunikasjon kunder har via e-postkonti i vårt system mot sine kontakter.
  • Uniweb har støtte for DNSSEC for .no-domener, noe som hindrer injisering av falske svar på DNS-oppslag. Falsk DNS-informasjon åpner mulighet for å stjele informasjon eller manipulere transaksjoner. DNSSEC reduserer risiko for å bli utsatt for dette, og man kan stole på at man kommuniserer med rett instans.
  • Sensitive opplysninger, som passord, blir ikke under noen omstendighet sendt ut via e-post.
  • Våre nettsider er i sin helhet beskyttet med SSL-kryptering (HTTPS), herunder brukernes kontrollpanel. Det samme gjelder interne systemer som de ansatte har tilgang til via VPN.
  • Kompetansehevende tiltak blir kontinuerlig gjennomført, blant annet i form av kurs og seminarer.
  • Ved avtaler med og bruk av underleverandører inngår Uniweb databehandleravtaler med disse. Personopplysninger overføres ikke til underleverandører i tredjeland utenfor EU-/EØS-området uten gyldig overføringsgrunnlag etter EUs standardavtaler/”model clauses” eller “EU-US Privacy shield”.
  • Uniweb tilfredsstiller de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften.

Systemstabilitet og fysisk sikring

Våre sikre og profesjonelt drevne datasentre i Oslo og Tønsberg er sikret på flere måter:

  • Alarm til FG-godkjent alarmstasjon
  • Døgnkontinuerlig kameraovervåking
  • Automatisk brannslokkingsanlegg
  • Redundant strøm (minst 2 uavhengige linjer)
  • Redundant internettlinje (minst 2 uavhengige linjer)
  • Redundante lagringsenheter
  • Serverpark er avlåst og skjermet
  • Jevnlig backup av kundedatabaser og kundefiler til annen fysisk lokasjon
  • Backup tas i flere generasjoner, slik at det er mulig å tilbakestille til et visst tidspunkt
  • Monitorering av datasentrene 24 timer i døgnet, 365 dager i året
  • Tilgangskontroll og inngjerdet bygning
  • Tilgjengelighetsgaranti på 99% for infrastrukturen våre ISP-tjenester produseres og driftes på
  • Forhåndsvarslede servicevinduer fra 00:00 til 07:00 mandag til fredag og 00:00 til 09:00 lørdag og søndag, noe som i hovedsak sikrer uavbrutt systemtilgjengelighet utenfor servicevinduene